Best practice per Privileged Access Manager

Questo documento descrive le best practice per l'utilizzo di Privileged Access Manager per controllare l'elevazione temporanea dei privilegi just-in-time con Identity and Access Management (IAM).

Gestire le dimensioni dei criteri IAM

Privileged Access Manager concede l'accesso vincolato al tempo aggiungendo un'associazione di ruolo IAM condizionale ai criteri di una risorsa. Ogni concessione di Privileged Access Manager attiva consuma spazio e viene conteggiata ai fini dei limiti di dimensione dei criteri IAM standard. Per saperne di più, consulta Quote e limiti di IAM.

Se un criterio IAM di una risorsa raggiunge la dimensione massima, le nuove richieste di concessione di Privileged Access Manager per quella risorsa non vanno a buon fine finché non liberi spazio nel criterio.

Se ti stai avvicinando al limite di dimensioni della policy IAM o lo hai raggiunto, puoi procedere nel seguente modo:

Revocare le concessioni esistenti

Revoca le concessioni attive di Privileged Access Manager che non sono più necessarie per rimuovere il binding IAM corrispondente dal criterio e liberare spazio. Per le istruzioni, vedi Revocare le concessioni.

Ottimizzare la configurazione di Privileged Access Manager

Per ottimizzare i diritti di Privileged Access Manager e ridurre lo spazio che ogni concessione occupa in una policy IAM:

  1. Consolida i ruoli all'interno dei diritti:

    1. Consolida più ruoli predefiniti in un numero inferiore di ruoli personalizzati per ridurre lo spazio utilizzato.
    2. Utilizza un unico ruolo più ampio, ad esempio roles/reader, anziché più ruoli di lettore specifici per il servizio.
    3. Rimuovi i ruoli ridondanti e le autorizzazioni sovrapposte. Ad esempio, se tutte le autorizzazioni in Role A sono presenti anche in Role B, rimuovi Role A dal diritto.

  2. Riduci il numero e la complessità delle condizioni IAM:

    1. Se utilizzi un elenco di più nomi di risorse nelle condizioni OR, valuta la possibilità di utilizzare una condizione tag.
    2. Per le concessioni che utilizzano la personalizzazione dell'ambito, non utilizzare filtri basati sul nome della risorsa.

  3. Concedi l'accesso all'ambito minimo richiesto.

    Seguendo il principio del privilegio minimo, configura i diritti di Privileged Access Manager per concedere l'accesso con l'ambito più ristretto possibile. Ad esempio, se un utente ha bisogno dell'accesso a un singolo bucket Cloud Storage in un progetto, concedi l'accesso a quel bucket anziché all'intero progetto, cartella o organizzazione.

Passaggi successivi